Nachdem der Europäische Gerichtshof (EuGH) im Sommer 2020 das Datenabkommen „Privacy Shield“ zwischen der EU und den USA gekippt hat, zeigen sich immer deutlicher die praktischen Konsequenzen: Google Analytics kann zumindest derzeit in Europa nicht rechtmäßig genutzt werden.

Die französische Datenschutzbehörde Commission Nationale de l‘Informatique et des Libertés („CNIL“) hat sich der Auffassung ihrer österreichischen Schwesterbehörde angeschlossen und entschieden, dass der Einsatz von Google Analytics, soweit er eine Datenübermittlung in die USA bewirkt, gegen die europäische Datenschutz-Grundverordnung (DS-GVO) verstößt und damit rechtswidrig ist.

Hintergrund: Die „Schrems II“-Entscheidung des EuGH

Im Geltungsbereich der DS-GVO dürfen personenbezogene Daten aus der EU nur dann in Drittstaaten übermittelt werden, wenn dafür eine den Anforderungen der DS-GVO genügende Rechtsgrundlage existiert. Eine solche Rechtsgrundlage war bis zum Sommer 2020 das sogenannte Privacy Shield zwischen der EU und den USA. Mit seiner nach dem österreichischen Datenschutzaktivisten Max Schrems benannten „Schrems II“-Entscheidung hat der EuGH dieses Abkommen jedoch für ungültig erklärt. Grund dafür war insbesondere, dass die amerikanischen Strafverfolgungsbehörden und Geheimdienste Zugriff auf personenbezogene Daten erhielten, die aus der EU übermittelt wurden. Nach europäischer Rechtslage ist ein solcher Zugriff nur unter strengen Voraussetzungen zulässig. Die Nutzung steht unter anderem unter einem Richtervorbehalt. 

Steht Google Analytics in der EU vor dem Aus?

Neben dem „Privacy Shield“ kommen jedoch auch andere Rechtsgrundlagen für eine Datenübermittlung in einen Drittstaat wie die USA in Betracht. Denkbar ist etwa die Nutzung sogenannter Standardvertragsklauseln. Doch auch dann ist die Übermittlung nur rechtmäßig, wenn das Datenschutzniveau im Zielland dem Niveau der DS-GVO grundsätzlich entspricht. Um dies zu gewährleisten, hätte Google nach „Schrems II“ zum Beispiel eine wirksame Anonymisierung der Daten vor der Übermittlung implementieren müssen. Darüber hinaus hätte dem Datenschutz durch Nutzung von Servern, die in Europa stehen, Rechnung getragen werden können.

Sowohl die österreichische Datenschutzbehörde („DSB“) als auch die französische CNIL sind nun kurz nacheinander zu der Einschätzung gelangt, dass Google diese datenschutzrechtlichen Pflichten nicht ernst genug genommen hat. Google hat sein Tracking-Tool nach wie vor nicht so konfiguriert, dass bei der Nutzung entweder bereits keine Übermittlung von Daten in die USA erfolgt oder dass die Daten ausreichend anonymisiert werden. Insbesondere Letzteres scheint aktuell nicht einfach umzusetzen sein, da auch die IP-Adresse, die ein personenbezogenes Datum darstellt, anonymisiert werden müsste. Die IP-Adresse wird von den weiterhin in den USA stehenden Servern jedoch benötigt, um mit dem Browser des Nutzers kommunizieren zu können.

Beachtenswert ist, dass die als besonders streng bekannte CNIL hervorgehoben hat, dass sie ihre Entscheidung in Abstimmung mit weiteren europäischen Datenschutzbehörden getroffen hat. Eine abweichende Bewertung in anderen Mitgliedstaaten ist daher unwahrscheinlich.

Praxishinweis

Betreiber von Webseiten sollten sich schnell nach einem alternativen Anbieter für Tracking umsehen, der ein datenschutzkonformes Modell anbietet. Denn nicht Google haftet beim Einsatz von Analytics für Datenschutzverstöße, sondern der Betreiber der Webseite.

Daneben sollte auch die weitere Entwicklung im Blick behalten werden. Nachdem Max Schrems bereits 101 Datenschutzbeschwerden in 23 Staaten allein gegen Google Analytics angestoßen hat, dürfte es nicht allzu lange dauern, bis etwa auch Microsoft-Teams oder Zoom in den Fokus der Datenschutzbehörden rücken.